AVŞAR YAPIM SANAYİ VE TİCARET ANONİM ŞİRKETİ
KİŞİSEL VERİLERİN KORUNMASI POLİTİKALARI
Doküman Tarihi: 16.08.2019
İÇİNDEKİLER
KİŞİSEL VERİLERİN KORUNMASI POLİTİKALARI …………………………………………………
2
KİŞİSEL VERİLERİN KORUNMASI POLİTİKASI
3
“Anonim Hale Getirme” Kişisel Verilerin, başka verilerle eşleştirilse dahi hiçbir surette
kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale
getirilmesini ifade eder.
“Anonim Hale Getirilmiş Veri” Gerçek kişi ile hiçbir şekilde ilişkilendirilmesi mümkün
olmayan veriyi ifade eder.
“Kişisel Veri” Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi
ifade eder.
“Kişisel Veri İşleme” Kişisel Verilerin tamamen veya kısmen otomatik olan ya da
herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde
edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden
düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi,
sınıflandırılması ya da kullanılmasının engellenmesi gibi veri üzerinde yapılan her türlü
işlemi ifade eder.
“Kurul” Kişisel Verileri Koruma Kurulunu ifade eder.
“Kurum” Kişisel Verileri Koruma Kurumunu ifade eder.
“KVKK” 6698 sayılı Kişisel Verilerin Korunması Kanununu ifade eder.
“KVK Düzenlemeleri/Hükümleri” 6698 sayılı Kişisel Verilerin Korunması Kanunu ile
Kişisel Verilerin korunmasına yönelik ilgili diğer mevzuatı, düzenleyici ve denetleyici
otoriteler, mahkemeler ve diğer resmi makamlar tarafından verilen, bağlayıcı kararları,
ilke kararlarını, hükümleri, talimatları ile verilerin korunmasına yönelik uygulanabilir
uluslararası anlaşmaları ve diğer her türlü mevzuatı ifade eder.
“KVK Prosedürleri” Şirketin, çalışanların ve Veri Sorumlusu Temsilcisinin işbu Politika
kapsamında uyması gereken yükümlülükleri belirleyen prosedürleri ifade eder.
“Özel Nitelikli Kişisel Veri” Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı,
dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği,
sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile
biyometrik ve genetik verileri ifade eder.
“Silme veya Silinme” Kişisel Verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve
tekrar kullanılamaz hale getirilmesi işlemidir.
“Kişisel Veri Envanteri” Şirketin Kişisel Veri İşleme faaliyetlerine yönelik olarak
Kişisel Veri İşleme süreç ve yöntemleri, Kişisel Veri İşleme amaçları, veri kategorisi,
Kişisel Verilerin aktarıldığı üçüncü kişiler vb. bilgileri ihtiva eden envanteri ifade eder.
4
“Veri İşleyen” Veri Sorumlusu tarafından yetki alarak, Veri Sorumlusu adına Kişisel
Verileri işleyen gerçek veya tüzel kişiyi ifade eder.
“Veri Sahibi” Kişisel Verinin ait olduğu gerçek kişiyi ifade eder.
“Veri Sorumlusu” Kişisel Verileri İşleme amaçları ve işleme yollarını belirterek işleyen,
veri kayıt sisteminin kurulması ve yönetilmesi sorumluluğu bulunan gerçek veya tüzel
kişiyi ifade eder.
“Veri Sorumlusu Temsilcisi” Şirketin, Kurum ile olan ilişkilerini yürüten çalışanı ifade
eder.
“Yok Etme” Kişisel verilerin yok edilmesini, hiç kimse tarafından hiçbir şekilde
erişilemez, geri getirilemez ve kullanılamaz hale getirilmesini ifade eder.
5
5.5.1. Şirket, Kişisel Verileri işlenme amacına uygun olarak şirket aktiviteleri için
gerektiği kadar muhafaza eder. Şirketin, KVK Düzenlemelerinde öngörülen veya
Kişisel Veri İşleme amacının gerektirdiği süreden daha uzun bir süreyle Kişisel
Verileri muhafaza etmek istemesi halinde, Şirket KVK Düzenlemelerinde
belirtilen yükümlülüklere uygun davranır.
5.5.2. Kişisel Veri İşleme amacının gerektirdiği süre sona erdikten sonra Kişisel
Veriler Silinir, Yok Edilir veya Anonim Hale Getirilir. İşbu halde, Şirketin Kişisel
Verileri aktardığı üçüncü kişilerin de Kişisel Verileri Silmesi, Yok Etmesi yahut
Anonim Hale Getirmesi sağlanır.
5.5.3. Silme, Yok Etme ve Anonim Hale Getirme süreçlerinin işletilmesinden Veri
Sorumlusu Temsilcisi sorumludur. Bu kapsamda gerekli prosedür Veri
Sorumlusu Temsilcisi tarafından oluşturulur.
6
Yasal ve finansal raporlama,
Faturalandırma.
Şirket, sinema salonlarında yapılan bilet satışları esnasında, müşterilere ilişkin herhangi
bir kişisel veri talep etmemekte, toplamamakta, işlememekte ve depolamamaktadır.
Şirket, online bilet satışı için kendi sistemine sahip değildir ve aracı kurumlarla
çalışmaktadır. Şirket, güncel olarak www.biletinial.com üçüncü kişi kurum ile çalışmakta
olup, kurumun topladığı hiçbir kişisel veriye erişim sağlamamaktadır, hiçbir kişisel
veriyi toplamamakta, işlememekte ve depolamamakta olup, üçüncü kişi kurumun
faaliyetlerinden sorumlu değildir. Müşterilerin söz konusu aracı kurum ile
paylaşacakları kişisel veriler, aracı kurumun kişisel veri politikalarına tâbidir.
Şirket’in sinema salonlarında ses kaydı olmaksızın sadece görüntü kaydı alan kameralar
mevcuttur. Sinema salonlarını ziyaret eden izleyicilerin görüntüleri, kamera kaydı altına
alınabilmektedir. Söz konusu kayıtlar, 30 gün boyunca depolanmakta ve bu süre
sonunda yok edilmektedir.
Kişisel Veriler Şirket tarafından ancak aşağıda belirtilen usul ve esaslar kapsamında
işlenebilir.
6.1. Açık Rıza
KVK Düzenlemeleri kapsamında Kişisel Verinin işlenmesi için açık rıza alınmasının
gerekli olduğu hallerde;
6.1.1. Kişisel Veriler, Veri Sahiplerine Aydınlatma Yükümlülüğünün yerine getirilmesi
çerçevesinde yapılacak bilgilendirme sonrası ve Veri Sahiplerinin Açık Rıza vermesi
halinde işlenir.
6.1.2. Aydınlatma Yükümlülüğü çerçevesinde Açık Rıza alınmadan önce Veri
Sahiplerine hakları bildirilir.
6.1.3. Veri Sahiplerinin Açık Rızası, KVK Düzenlemelerine uygun yöntemlerle alınır.
Açık Rızalar ispatlanabilir şekilde Şirket tarafından KVK Düzenlemeleri kapsamında
gereken süre ile muhafaza edilir.
6.1.4. Veri Sorumlusu Temsilcisi tüm Kişisel Veri İşleme süreçleri bakımından
Aydınlatma Yükümlülüğü’nün yerine getirilmesini ve gerektiğinde Açık Rızanın
alınmasını ve muhafazasını sağlar. Kişisel Veri İşleyen tüm departman çalışanları Veri
Sorumlusu Temsilcisinin talimatlarına, işbu Politika’ya uymakla yükümlüdür.
6.2. Kişisel Verilerin Açık Rıza Alınmaksızın İşlenmesi
7
6.2.1 KVK Düzenlemeleri kapsamında Açık Rıza alınmaksızın Kişisel Verilerin
İşlenmesinin öngörüldüğü durumlarda (KVKK Madde 5.2 ve Madde 6.3 dahil ancak
bunlarla sınırlı olmayacak şekilde kanunlarda sayılan hallerde), Şirket Veri Sahibinin
Açık Rızasını almaksızın Kişisel Verileri işleyebilir. Kişisel Verilerin bu şekilde işlenmesi
durumunda Şirket KVK Düzenlemelerinin çizdiği sınırlar çerçevesinde ve Aydınlatma
Yükümlülüğüne uyarak Kişisel Verileri İşler. Bu kapsamda:
6.2.1.1. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya
rızasına hukuki geçerlilik tanınmayan Veri Öznesinin ve/veya Veri Öznesi dışındaki bir
kişinin hayatının veya beden bütünlüğünün korunması için Kişisel Veriler Şirket
tarafından Açık Rıza olmaksızın işlenebilir.
6.2.1.2. Bir sözleşmenin kurulması, uygulanması, ifası veya sonlandırılmasıyla doğrudan
doğruya ilgili olması şartları sağlanıyorsa, sözleşmenin taraflarına ait Kişisel Veriler Veri
Sahiplerinin Açık Rızaları olmadan Şirket tarafından işlenebilir. Bu anlamda Şirket’in
taraf olduğu hizmet sözleşmeleri, iş sözleşmeleri vb. gibi faaliyetlerinin devamı için
gerekli tüm sözleşmeler kapsamında topladığı kişisel veriler, açık rıza olmaksızın işbu
Politika çerçevesinde işlenmekte, saklanmakta, silinmekte ve imha edilmektedir.
6.2.1.3. Kişisel Verilerin İşlenmesi Şirketin hukuki yükümlülüğünü yerine getirmesi için
zorunluysa, Kişisel Veriler Veri Sahiplerinin Açık Rızaları olmadan Şirket tarafından
işlenebilir.
6.2.1.4. Veri Sahibi tarafından alenileştirilmiş olan Kişisel Veriler Açık Rıza alınmaksızın
Şirket tarafından işlenebilir.
6.2.1.5. Kişisel Verilerin Açık Rıza alınmadan işlenmesi bir hakkın tesisi, kullanılması
veya korunması için tek mümkün yol ise Kişisel Veriler Açık Rıza alınmaksızın Veri
Sorumlusu Temsilcisinin bilgisi dâhilinde Şirket tarafından işlenebilir.
6.2.1.6. Veri Sahiplerinin temel hak ve özgürlüklerine zarar vermemek kaydıyla,
Şirketin meşru menfaatleri için veri işlenmesinin zorunlu olması halinde Kişisel Veriler
Şirket tarafından Açık Rıza olmaksızın işlenebilir.
8
7.2. Şirket, taraf olduğu veya kendisine aktarılan iş sözleşmeleri dolayısıyla kanuni
gereklilik olarak alınması öngörülen özel nitelikli kişisel veriler haricinde, özel nitelikli
kişisel veri toplamamakta, saklamamakta ve herhangi bir şekilde işlememektedir.
7.3. Sağlık ve cinsel hayata ilişkin Kişisel Veriler ancak kamu sağlığının korunması,
koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık
hizmetleri ile finansmanının planlanması ve yönetimi amacıyla Açık Rıza almaksızın
işlenebilir. Dolayısıyla KVK Düzenlemelerinde aksi öngörülene dek kişisel sağlık verileri
ve cinsel hayat verileri yalnızca Açık Rıza kapsamında yahut sır saklama yükümlülüğü
altında olan Şirket hekimi tarafından işlenebilir.
7.4. Özel Nitelikli Kişisel Veriler İşlenirken, Kurul tarafından belirlenen önlemler alınır.
7.5. Özel Nitelikli Kişisel Verilerin İşlenmesini gerektiren her durumda, ilgili çalışan
tarafından Veri Sorumlusu Temsilcisi bilgilendirilir.
7.6. Bir verinin Özel Nitelikli Kişisel Veri olup olmadığı anlaşılabilir değil ise ilgili
departman tarafından Veri Sorumlusu Temsilcisinden görüş alınır.
9
10
9.1.3. Şirket, Kişisel Verilerin Türkiye’de bulunan üçüncü kişilere aktarımının KVK
Düzenlemelerine uygun olmasını sağlamakla sorumludur.
9.2. Yurt Dışında Bulunan Üçüncü Kişilere Kişisel Veri Aktarım
9.2.1. Şirket, sahibi olduğu dizi/film vb. eserlerin yurtdışına pazarlanması veya yurt dışı
menşeili filmlerin Türkiye’de dağıtımı ve/veya sinemalarında gösterimi dolayısıyla
kişisel verileri işbu Politika ve mevzuat hükümleri çerçevesinde yurtdışına
aktarabilecektir.
9.2.2. Kişisel Veriler, KVK Hükümlerinin belirttiği hallerde Açık Rıza olmaksızın, Açık
Rızanın arandığı hallerde Veri Sahibinin Açık Rızası alınmak şartı ile yurt dışında
bulunan üçüncü kişilere Şirket tarafından aktarılabilir.
9.2.3. Kişisel Verilerin KVK Düzenlemelerine uygun olarak Açık Rıza alınmaksızın
aktarıldığı durumda ayrıca aktarılacağı yabancı ülke bakımından aşağıdaki koşullardan
birinin varlığı gerekir:
9.2.3.1 Kişisel Verilerin aktarıldığı yabancı ülkenin Kurul tarafından yeterli
korumanın bulunduğu ülkeler statüsünde olması (liste için lütfen Kurul’un güncel
listesini takip edin),
9.2.3.2 Aktarımın gerçekleşecek olduğu yabancı ülkenin Kurul’un güvenli ülkeler
listesinde yer almaması halinde Şirketin ve ilgili ülkedeki Veri Sorumlularının
yeterli korumanın sağlanacağına ilişkin yazılı taahhütte bulunarak Kuruldan izin
alması.
9.2.4. Şirket Kişisel Verilerin yurt dışında üçüncü kişilere aktarımının KVK
Düzenlemelerine uygun olmasını sağlamaktan sorumludur.
9.2.5. Şirket, elektronik haberleşme amacıyla Google, Hotmail, Outlook gibi hizmet
sağlayıcılardan hizmet alabilmektedir. Bu kapsamda şirketin yapacağı elektronik
haberleşmelerin içerebileceği kişisel veriler, hizmet sağlayıcıların sunucularında
depolanmakta olup, söz konusu şirketlerin veri koruma politikaları kapsamında
saklanmakta, aktarılmakta ve işlenmektedir.
11
Veri Sorumlusunun ve varsa temsilcisinin kimliği,
Kişisel Verilerin hangi amaçla işleneceği,
İşlenen Kişisel Verilerin kimlere ve hangi amaçla aktarılabileceği,
Kişisel Veri toplamanın yöntemi ve hukuki sebebi,
İlgili kişi, Başvuru Formu’nu doldurup Şirket’in Aydınlatma Metninde belirlenen
kvkk@avsarsinema.com.tr adresine ileterek aşağıdaki konularda bilgi alabilir;
Kişisel verisinin işlenip işlenmediğini öğrenme,
Kişisel verisi işlenmişse buna ilişkin bilgi talep etme,
Kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp
kullanılmadığını öğrenme,
Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri
bilme,
Kişisel verileri eksik veya yanlış işlenmişse bunların düzeltilmesini talep
etme
Kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması
halinde kişisel verilerin silinmesini veya yok edilmesini isteme,
Yukarıda bahsedilen düzeltme, silme veya yok etme işlemlerinin, kişisel
verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz
edilmesi suretiyle aleyhe bir sonuç ortaya çıkmasına itiraz etme,
Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması
halinde zararın giderilmesini talep etme
10.2. Şirket, Veri Sahibinin KVK Hükümleri uyarınca işlenen kişisel verisine dair bilgi
talep etmesi halinde, Veri Sahibinin kimliğini doğruladıktan sonra en geç 30 (otuz) gün
içerisinde gerekli bilgilendirmeyi yapar. Aşağıda sayılan gerekçeler dahil ancak bunlarla
sınırlı olmayacak şekilde Şirket’in başvuruyu reddetme haklı saklıdır;
Bilgi talep eden kişinin, ilgili veri sahibi olduğuna dair kimliğinin
doğrulanamaması,
Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle
araştırma, planlama ve istatistik gibi amaçlarla işlenmesi,
Kişisel verilerin özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek
ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel
amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi,
Kişisel Veri Sahibi tarafından alenileştiren kişisel verilerin işlenmesi,
Başvurunun haklı bir nedene dayanmaması,
Başvurunun ilgili mevzuata aykırı bir istem içermesi,
Başvuru usulüne uyulmaması, gibi durumlarda kabul edilmeme gerekçesi
açıklanarak reddedilir.
12
10.3. Başvurunun reddedilmesi, başvuruya verilen cevabın yetersiz bulunması veya
süresinde cevap verilmemesi hallerinde; başvuru sahibinin cevabı öğrendiği tarihten
itibaren 30 (otuz) gün ve her halde başvuru tarihinden itibaren 60 (altmış) gün
içerisinde KVK Kurulu’na şikayette bulunma hakkı bulunmaktadır.
10.4. Kişisel Verilerin İşlenmesinden önce gerekli Aydınlatma Yükümlülüğünün yerine
getirilmesini, ilgili süreci takip eden çalışan ve Veri Sorumlusu Temsilcisi yürütür.
10.5. Veri İşleyenin Şirket haricinde üçüncü bir kişi olması halinde, üçüncü kişinin
yukarıda belirtilen yükümlülüklere uygun davranacağı yazılı bir sözleşme ile Kişisel Veri
İşlemeye başlanmadan önce üçüncü kişi tarafından taahhüt edilmelidir. Üçüncü kişilerin
Şirkete Kişisel Veri aktardığı durumlarda sözleşmelere eklenecek madde Veri Sorumlusu
Temsilcisinden temin edilir. Her bir çalışan Şirkete üçüncü bir kişi tarafından Kişisel
Veri aktarımı yapılan durumda işbu Politika’da yer alan süreci kat etmekle yükümlüdür.
Veri Sorumlusu Temsilcisi tarafından iletilen maddede Kişisel Verileri aktaran üçüncü
kişinin değişiklik talep etmesi halinde durum derhal çalışan tarafından Veri Sorumlusu
Temsilcisine bildirir.
13
ve işleme hukuka aykırı olup iş akdinin haklı nedenle feshi sebebidir.
Kendisine Şirket cihazı tahsis edilen her kişi, kendi kullanımına tahsis
edilen cihazlarının güvenliğinden sorumludur. Her Şirket çalışanı veya
Şirket bünyesinde çalışan kişi kendi sorumluluk alanında yer alan fiziki ve
elektronik dosyaların/verilerin güvenliğinden sorumludur. Şirket
içerisindeki bir departman Özel Nitelikli Kişisel Veri İşliyorsa, bu
departman, işledikleri Kişisel Verilerin önemi, güvenliği ve gizliliği
hakkında bilgilendirilir ve ilgili departman Veri Sorumlusu Temsilcisi
talimatlarına uygun hareket ederler. Özel Nitelikli Kişisel Verilere erişim
yetkisi yalnızca sınırlı çalışanlara verilir ve bunların listesi ve takibi Veri
Sorumlusu Temsilcisi tarafından yapılır. KVK Düzenlemeleri kapsamında
Kişisel Verilerin güvenliği için talep edilen veya ek olarak talep edilecek
olan güvenlik önlemleri olması durumunda tüm çalışanlar ek güvenlik
önlemlerine uymak ve bu güvenlik önlemlerinin sürekliliğini sağlamak ile
yükümlüdür. Kişisel Verilerin işbu Politika ve KVK Prosedürlerine uygun
şekilde korunmasından ilgili sürece müdahil olan tüm çalışanlar kusurları
oranında müteselsilen sorumludur. Şirket çalışanları, Kişisel Verilerin
güvenliğine ve gizliliğine ilişkin yükümlülüklerinin, iş ilişkisinin sona
ermesinden sonra da devam edeceği konusunda bilgilendirilmiş ve Şirket
ilgili çalışanlarından bu kurallara uymaları yönünde taahhüt alınmıştır.
11.1.2. Teknik Tedbirler
Şirket, bünyesinde işlediği, depoladığı tüm kişisel verilerin siber
güvenliğini sağlamaktadır. Kişisel Veri İşleme faaliyetlerine yönelik teknik
konularda bilgili, bilgi işlem personeli istihdam edilmektedir.
Şirket, bünyesinde işlediği, depoladığı tüm kişisel verilerin siber
güvenliğini takip etmekte ve periyodik aralıklarla bakım ve denetim
yapmaktadır. Şirket tarafından Kişisel Veri İşleme faaliyetleri teknolojik
imkanlar ve uygulama maliyetine göre teknik sistemlerle
denetlenmektedir.
Şirket, bünyesinde işlediği, depoladığı tüm kişisel verilere ilişkin bir bulut
depolama sistemi kullanmamaktadır.
Şirkette Kişisel Verilerin yer aldığı belgeler kriptolu (şifreli) sistemlerle
korunmaktadır. Bu kapsamda, Kişisel Veriler ortak alanlarda ve
masaüstünde saklanmaz. Kişisel Verilerin yer aldığı dosya ve klasörler vb.
belgeler masaüstüne veya ortak klasöre taşınmaz, Veri Sorumlusu
Temsilcisinin veya Bilgi Teknolojileri Yetkilisinin önceden yazılı onayı
alınmadan Şirket bilgisayarlarındaki bilgiler USB vb. başka bir aygıta
aktarılamaz, Şirket dışına çıkartılamaz.
Şirket, bilgi teknolojileri sistemleri tedarik etmekte, bu hizmeti veren
firmalardan geliştirme ve bakım almaktadır. Şirkette Kişisel Verilerin
14
güvenli ortamlarda saklanması için teknolojik gelişmelere uygun olarak
virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılımlar ve
donanımlar kurulmaktadır.
Şirkette Kişisel Verilerin kaybolmasını yahut zarar görmesini engellemek
üzere yedekleme programları kullanılmakta ve yeterli düzeyde güvenlik
önlemleri alınmaktadır.
15
görünebilecek şekilde ve/veya ileride kurulabilecek bir internet sitesi üzerinden erişime
sunar.
İşbu Politika 16.08.2019 tarihinde AVŞAR YAPIM SANAYİ VE TİCARET ANONİM
ŞİRKETİ tarafından onaylanarak yürürlüğe girmiştir.